使用iptables作为网络防火墙构建安全的网络环境【永利澳门游戏网站】

实验拓扑图

永利澳门游戏网站 1

网络防火墙的优势

style=”font-size: 16px;”>网络防火墙相比于主机防火墙而言,范围更大,不用对网络内的各主机各自设置防火墙规则就可以保证其安全性,但是必须在网络的进出口才能对出入数据包进行限制

定义网络防火墙规则

大家应该够知道,服务器开放的端口越多就越危险,所以我们在网络防火墙对其进行规则定义

[root@fire ~]# iptables -P FORWARD DROP  #设置FORWARD链默认策略为DROP
[root@fire ~]# modprobe nf_conntrack_ftp  #装载追踪FTP被动连接模块
[root@fire ~]# iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@fire ~]# iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m multiport --dports 21,80 -m state --state NEW -j ACCEPT
[root@fire ~]# iptables -A FORWARD -d 192.168.2.3 -p udp --dport 53 -m state --state NEW -j ACCEPT

解释一下上面几条规则的作用 
第一条规则将FORWARD style=”font-size: 14px;”>链的默认策略设置为DROP style=”font-size: 14px;”>,那么默认所有的数据包将不能通过FORWARD style=”font-size: 14px;”>的转发 
第二条规则状态nf_conntrack_ftp style=”font-size: 14px;”>模块,使得iptables style=”font-size: 14px;”>能够追踪FTP style=”font-size: 14px;”>链接的状态,使数据连接得以建立 
第三条意思是状态使ESTABLISHED style=”font-size: 14px;”>和RELATED style=”font-size: 14px;”>允许通过,指的是已建立链接或者追踪链接建立能够通过 
第四条意思是允许访问目标地址为192.168.2.0 style=”font-size: 14px;”>网段,端口为21/TCP style=”font-size: 14px;”>和80/TCP style=”font-size: 14px;”>状态为NEW能 style=”font-size: 14px;”>够通过,指的是新的链接能通过 
第五条是为DNS style=”font-size: 14px;”>查询而添加的规则,指的是允许访问目标地址为192.168.2.3的地址且目标端口为 style=”font-size: 14px;”>53/UDP style=”font-size: 14px;”>NEW`状态能够通过,同指新的链接能够通过

实验步骤

FTP,WEB style=”font-size: 16px;”>,DNS style=”font-size: 16px;”>服务器安装配置这里就不写了,有兴趣的看我以前的博客 style=”font-size: 16px;”>AnyISalIn的文章

前言

一般情况下iptables style=”font-size: 16px;”>只作为主机防火墙使用,但是在特殊情况下也可以使用iptables style=”font-size: 16px;”>对整个网络进行流量控制和网络安全防护等功能,在本文中,我们使用iptables style=”font-size: 16px;”>对三台服务器的安全进行安全防护

总结

style=”font-size: 16px;”>本文只做了一些简单的限制,不过足以限制用户只能访问”该访问”的服务,这当然不能运用于生产环境中,毕竟设计简陋,大家笑笑就好 

更多iptables相关教程见以下内容

CentOS
7.0关闭默认防火墙启用iptables防火墙 
http://www.linuxidc.com/Linux/2015-05/117473.htm

iptables使用范例详解
http://www.linuxidc.com/Linux/2014-03/99159.htm

Linux防火墙iptables详细教程
http://www.linuxidc.com/Linux/2013-07/87045.htm

iptables的备份、恢复及防火墙脚本的基本使用
http://www.linuxidc.com/Linux/2013-08/88535.htm

Linux下防火墙iptables用法规则详解
http://www.linuxidc.com/Linux/2012-08/67952.htm

Linux下iptables防火墙设置
http://www.linuxidc.com/Linux/2015-10/123843.htm

本文永久更新链接地址:http://www.linuxidc.com/Linux/2016-04/130032.htm

永利澳门游戏网站 2

防火墙未设置前对所有服务器的测试

以下操作在192.168.1.103进行

dns服务能够正常使用 

永利澳门游戏网站 3

ftp服务能够正常使用 
永利澳门游戏网站 4

 

web服务能够正常使用 

永利澳门游戏网站 5

针对不同服务器进行”非法”访问

我们对dns,web.ftp style=”font-size: 16px;”>服务器分别进行ping style=”font-size: 16px;”>,ssh style=”font-size: 16px;”>等操作 

永利澳门游戏网站 6

永利澳门游戏网站 7

实验环境

 

主机 IP地址 功用
fire.anyisalin.com 192.168.2.2,192.168.1.112 控制整个网段的数据报文的流入流出及过滤
ns.anyisalin.com 192.168.2.3 提供DNS服务
ftp.anyisalin.com 192.168.2.5 提供FTP服务
www.anyisalin.com 192.168.2.4 提供web服务

 

除了fire主机,其他主机皆关闭SElinuxiptables

测试服务器是否可访问

ftp服务能正常访问 

永利澳门游戏网站 8 

web服务能正常访问 
永利澳门游戏网站 9 

dns服务能正常访问 

永利澳门游戏网站 10

再次针对不同服务器进行”非法”访问

大家看!现在已经不能对服务器进行非法访问了 

永利澳门游戏网站 11

发表评论

电子邮件地址不会被公开。 必填项已用*标注